作者:John Leyden
本文转自:企业网D1Net
随着AI的进步和计算基础设施的变化,恶意软件正在迅速发展。
安全专业人员必须不断了解这些趋势,以抵御日益复杂的威胁。
安全攻击者与防御者之间的传统“猫捉老鼠”游戏随着新技术的出现和旧有低效方法的过时而变得更加激烈。
以下是恶意软件领域的最新动态,哪些正在升温,哪些正在降温。
信息窃取工具将初始访问权限商品化
据网络安全供应商Immersive称,信息窃取工具最近出现了巨大增长,感染尝试次数同比增长了58%。
Lumma Stealer、StealC和RisePro等恶意软件现在负责了75%的凭据被盗事件。
信息窃取工具会窃取浏览器cookie、VPN凭据、多因素认证(MFA)令牌、加密钱包数据等,网络犯罪分子通过暗网市场出售这些工具窃取的数据,使攻击者能够轻松访问企业系统。
“这种转变将初始访问权限商品化,使得国家层面的目标可以通过简单的交易实现,而无需复杂的攻击,”Immersive的首席网络安全工程师本·麦卡锡(Ben McCarthy)表示。
针对开发者环境的恶意软件包
威胁行为者正通过将恶意代码嵌入到企业用于构建应用程序的合法开发工具、库和框架中,系统地破坏软件供应链。
“这些供应链攻击利用了开发者与包存储库之间的信任关系,”Immersive的麦卡锡告诉记者,“恶意软件包经常模仿合法软件包,同时运行有害代码,从而逃避标准的代码审查。”
2024年,研究人员在NPM、PyPI以及HuggingFace等AI平台等软件开发生态系统中发现了512847个恶意软件包,同比增长了156%。
勒索软件变得更加具有针对性和复杂性
自执法部门打击了LockBit等主要组织以来,勒索软件格局发生了巨大变化。
现代勒索软件威胁行为者如RansomHub和Akira现在更倾向于小型、高度针对性的攻击,在完全渗透和数据泄露后将勒索软件作为最后一步,这标志着从广泛的机会主义攻击转向了聚焦的高价值活动。
“这些有针对性的方法显示了威胁行为者对特定漏洞的深入了解,以及他们在侦察和定制攻击开发方面的投入意愿。”Immersive的麦卡锡评论道。
这些组织使用先进的规避技术,如本地化工具(LOTL)战术和合法的管理工具来保持隐藏,他们还从文件加密转向数据盗窃和勒索,威胁公开泄露以迫使受害者屈服。
“我们已经注意到,在勒索软件工具链中,云服务和远程管理平台的使用显著增加,”网络检测和响应提供商ExtraHop的高级技术营销经理杰米·莫尔斯(Jamie Moles)表示,“这与更广泛的趋势一致:攻击者不再仅仅依赖传统的恶意软件负载,而是越来越多地转向滥用可信平台和本地化技术。”
医疗保健仍然是勒索软件攻击的主要目标,而关键基础设施也面临着日益增长的威胁,因为攻击者利用了促使快速支付赎金的紧迫性。
恶意软件采用社交攻击技术
网络犯罪分子越来越多地采用ClickFix作为恶意软件交付方法,利用社交攻击技术成功感染终端用户设备。
ClickFix通过欺骗用户在其系统上执行恶意代码(通常是PowerShell脚本)来工作。
ClickFix是一种日益增长的威胁,它利用了用户日益增长的疲劳感,这些用户不得不通过在线障碍来“证明你是人类”。
通过劫持对熟悉的验证码(CAPTCHA)过程的信任,威胁行为者使用户积极参与自己的妥协——在简单的验证伪装下将恶意命令复制并粘贴到他们的系统中。
“在过去的一年里,我们看到这种技术在钓鱼网站、被入侵的网页和社交攻击活动中获得了显著关注,”SentinelLABS的高级威胁研究员吉姆·沃尔特(Jim Walter)表示,“它简单、有效且越来越常见。”
CISO需要警惕这种威胁,因为它通过依赖人类行为而非系统漏洞来绕过许多传统检测方法。
“提高意识、加强终端执行策略以及部署行为检测工具对于应对这波恶意软件交付浪潮至关重要。”沃尔特建议道。
针对macOS企业用户的恶意软件
一些安全供应商报告称,针对企业环境中macOS用户的恶意软件活动显著增加。
SentinelLABS/SentinelOne的macOS恶意软件研究员菲尔·斯托克斯(Phil Stokes)告诉记者:“我们看到了从伪装成商业工具的信息窃取工具到高度复杂的模块化后门的一切——因此,威胁行为者在针对企业环境中的苹果用户方面显然加大了力度。”
例如,Atomic Infostealer通过知名企业0应用程序的假版本传播,而不仅仅是长期以来一直困扰安全的破解游戏或消费者工具。
虽然勒索软件和信息窃取工具仍然是主要威胁,但较旧的商品恶意软件和黑客技术已经出现了下降趋势。
多态恶意软件规避检测机制
多态恶意软件在每次复制或感染新系统时都会自动修改其代码,使得基于签名的检测方法难以识别。
这种类型的恶意软件对于防病毒软件来说很难检测,对于安全研究人员来说也很难分析。
Palo Alto Networks的威胁情报和事件响应部门Unit 42的首席威胁研究员亚历克斯·欣奇利夫(Alex Hinchliffe)表示:“非常基本或特定的检测机制,如基于哈希的扫描器,会被多态性所挫败,但值得注意的是,每次编译恶意程序(例如编译成可执行文件)时,都会产生一个新的唯一指纹或哈希值。再加上大量免费和商业上可用的压缩器、打包器和保护器工具,这些工具可以应用于编译后的程序,‘相同’的程序将产生更多的指纹变化和排列组合。”
多态恶意软件还经常使用加密来隐藏其有效载荷,进一步复杂化了检测和分析过程。
已弃用的恶意软件技术
一些明显的趋势反映了恶意软件和黑客技术的“衰落”,这主要是因为随着安全防御和实践的进步,它们的有效性已经降低。
例如,威胁行为者更多地依赖合法的管理工具(如Sysinternals Suite和本地化二进制文件或LOLBins)进行防御规避和持久性,而较少依赖恶意可执行文件。
“在黑客工具方面,我们观察到更全面的工具套件(如Cobalt Strike和Sliver)的使用有所减少,”托管检测和响应供应商Huntress的技术作家林赛·韦尔奇(Lindsey Welch)表示,“然而,威胁行为者继续使用Mimikatz和CrackMapExec等专用工具来执行密码嗅探、内存转储、权限提升和横向移动等功能。”
其他曾经流行但现在已不再受欢迎的技术包括:
• 网络蠕虫,如Conficker,因为现代网络现在具有分段、自动补丁和强大的终端防御功能,这些都限制了蠕虫的传播。
• 传统僵尸网络
• 漏洞利用工具包,这些工具包曾经是通过基于Web的攻击交付恶意软件的一种常见方法,通过扫描用户系统中Adobe Flash、Java或Internet Explorer等软件的已知漏洞,然后利用这些弱点来安装恶意软件。
• Office宏
• 基于USB的恶意软件
版权声明:本文为企业网D1Net编译,转载需在文章开头注明出处为:企业网D1Net,如果不注明出处,企业网D1Net将保留追究其法律责任的权利。
